«Este tipo de técnicas dan mucho dinero. El retorno de la inversión es brutal. Las acciones de «phishing», y de «spoofing» en concreto, no exigen grandes esfuerzos», explica Hervé Lambert, responsable de operaciones de Panda Security. El experto, en conversación con ABC, se muestra muy preocupado por el aumento de los ciberataques que emplean ingeniería social pensado para engañar al usuario y robarle los datos: «Los cibermalos son muy buenos y muy listos. Se les da muy bien encontrar fórmulas a través de las que robar información. Muchas veces la gente piensa que sus datos no valen nada, que en su teléfono no hay nada que interese. No es así. A día de hoy un «smartphone» alberga toda la vida digital del usuario. Su navegación, sus gustos, sus opiniones, sus amistades, sus datos bancarios… Todo eso cuesta dinero».
Un fenómeno muy extendido
Los ataques destinados a la suplantación de identidad no son un fenómeno nuevo en internet. Ni de lejos. Durante los últimos años han afectado a numerosos usuarios y, a su vez, han ido mejorando. Un buen ejemplo de sus posibilidades lo encontramos en «el timo del CEO». Una ciberestafa en la que el atacante, haciéndose pasar por el jefe de una compañía, solicita a alguien de la plantilla que transfiera una cantidad de dinero a una cuenta concreta.
Precisamente, esta técnica estuvo (presuntamente) relacionada con la pérdida de cuatro millones de euros de la EMT valenciana el año pasado. El dinero terminó en una sucursal de un banco en Hong Kong. «El crecimiento de los ataques basados en suplantación del usuario es muy grande y muy difícil de cuantificar. Más o menos del 40% desde 2017. Hay fuentes americanas que afirman que cada mes se crean dos millones de estafas de «phishing». El mayor número de ciberataques contra empresas durante 2019 ha sido de este tipo», afirma Lambert.
Durante los primeros meses de este año, firmas de ciberseguridad, como Kaspersky, han alertado sobre la aparición de varias estafas destinadas a robar cuentas de WhatsApp. Recientemente, la Guardia Civil
alertaba sobre un caso en el que el atacante, haciéndose pasar por un contacto al que ha suplantado previamente, trata de engañar al usuario para que le comparta el código de verificación de su cuenta, con lo que tendría vía libre para tomar el control de la misma. <blockquote class=»twitter-tweet»><p lang=»es» dir=»ltr»>¿Has recibido un SMS como este?<br><br>¡¡¡NO LO CONTESTES!!!<br><br>Es el mensaje con el código de verificación para la instalación. Si se lo facilitas a un tercero controlará tu cuenta en su dispositivo y con ello, el acceso a todos tus grupos y contactos<a href=»https://twitter.com/hashtag/NoPiques?src=hash&ref_src=twsrc%5Etfw»>#NoPiques</a><a href=»https://t.co/mkiaDcCUHc»>https://t.co/mkiaDcCUHc</a> <a href=»https://t.co/OgUvVgqRtC»>pic.twitter.com/OgUvVgqRtC</a></p>— Guardia Civil (@guardiacivil) <a href=»https://twitter.com/guardiacivil/status/1227208160429080576?ref_src=twsrc%5Etfw»>February 11, 2020</a></blockquote> <script async src=»https://platform.twitter.com/widgets.js» charset=»utf-8″></script>
La seguridad de WhatsApp
Desde Panda Security apuntan que, a pesar de las mejoras de WhatsApp en materia de seguridad, como la adopción del sistema de doble verificación, el riesgo de que un cibercriminal pueda atacar una cuenta y robarla es «preocupante». La aplicación de mensajería, por su parte, hace hincapié dentro de su página de soporte en que cualquier persona que tenga el número de un usuario tiene la capacidad de mandarle un mensaje, por lo que es importante tener cuidado. «Los mensajes no deseados enviados por terceros no autorizados pueden llegarte de diferentes maneras: spam, estafas o mensajes de impostores que se hacen pasar por miembros de nuestro equipo. Todos estos mensajes tratan de engañarte e intentan que realices alguna acción que puede ponerte en peligro», explican desde WhatsApp. A su vez, la «app» recomienda a aquellos que reciban un mensaje de este tipo que bloquee al emisario, ignore la información que aparece y que borre la conversación.
A pesar de los esfuerzos de la aplicación por garantizar la seguridad de los usuarios, muchas entidades internacionales albergan dudas sobre el servicio. Ese es el caso, por ejemplo, de la ONU, que el mes pasado prohibió a sus representantes el intercambio de mensajes a través de la aplicación propiedad de Facebook. «Los altos funcionarios de la ONU han recibido instrucciones de no usar WhatsApp. No es un mecanismo seguro», afirmó el portavoz Farhan Haq en declaraciones recogidas por Reuters.
Cómo protegerte
Según el responsable de operaciones de Panda Security, para hacer frente a los ataques de suplantación de identidad es imprescindible tener un sistema de seguridad adaptado a las necesidades del usuario. También se debe emplear el sentido común. Entender, por ejemplo, que una entidad bancaria nunca va a pedir las credenciales de un cliente a través de un mensaje de WhatsApp o un correo. O que la Guardia Civil no va a enviar una multa empleando alguno de estos mecanismos. A su vez, recomienda fijarse en los elementos que componen el correo electrónico o la conversación de WhatsApp de la que se sospecha.
A su vez, si existiese alguna duda sobre la veracidad se recomienda entrar en contacto con la persona o la entidad que, supuestamente, ha enviado el mensaje.